企業(yè)網(wǎng)絡(luò)安全案例分析

1企業(yè)網(wǎng)絡(luò)平安設(shè)計(jì)：案例分析企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第1頁。2內(nèi)容案例介紹平安評(píng)估平安方案設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第2頁。3公司規(guī)模A公司是一家從事太陽能，電力，石油，化工，相關(guān)銷售等工程等的公司。公司總部設(shè)在上海，有200名員工，并在北京擁有1家分公司，員工約100人。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第3頁。4公司的組織結(jié)構(gòu)上?？偛?200人)行政部人力資源部管理部公共關(guān)系部固定資產(chǎn)部采購(gòu)部IT總部市場(chǎng)部銷售部北京分公司〔100人〕行政部財(cái)務(wù)部人力資源部管理部銷售市場(chǎng)部IT管理部太陽能部質(zhì)量控制部法律事務(wù)部企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第4頁。5公司的開展?fàn)顩rA公司從1985年成立，90年代起收購(gòu)了多家公司，而且與政府及大型能源企業(yè)有合作。在國(guó)內(nèi)的主要大城市有分公司和代表處。公司的急速擴(kuò)張?jiān)斐闪斯綢T管理部門的巨大工作壓力，原有的IT管理構(gòu)架早已不堪重負(fù)。于是決定對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了一次重大升級(jí)，包括增加網(wǎng)絡(luò)帶寬，更換核心設(shè)備，并將整個(gè)系統(tǒng)從WindowsNT4平臺(tái)全部遷移到了Windows2000平臺(tái)，提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性和可管理性。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第5頁。6A公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第6頁。7風(fēng)險(xiǎn)由于太多的日常維護(hù)工作而忽略了系統(tǒng)策略及平安政策的制訂及執(zhí)行不力，管理員的日常維護(hù)工作又沒有標(biāo)準(zhǔn)可循，系統(tǒng)及數(shù)據(jù)備份也是沒有考慮到災(zāi)難恢復(fù)，經(jīng)常會(huì)有一些系統(tǒng)平安問題暴露出來。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第7頁。8危機(jī)該公司網(wǎng)站使用Windows2000上的IIS作為對(duì)外的WEB效勞器，該網(wǎng)站W(wǎng)EB效勞器負(fù)責(zé)公司的信息提供和電子商務(wù)。在外網(wǎng)上部署了硬件防火墻，只允許到效勞器TCP80端口的訪問。但是在X月X日上午，一個(gè)客戶發(fā)郵件通知公司網(wǎng)站管理員，說該公司網(wǎng)站的首頁被人修改，同時(shí)被發(fā)布到國(guó)內(nèi)的某黑客論壇，介紹入侵的時(shí)間和內(nèi)容。管理員立刻查看網(wǎng)站效勞器，除了網(wǎng)站首頁被更改，而且發(fā)現(xiàn)任務(wù)列表中存在未知可疑進(jìn)程，并且不能殺死。同時(shí)發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)庫效勞器有人正在拷貝數(shù)據(jù).管理員及時(shí)斷開數(shù)據(jù)效勞器，利用備份程序及時(shí)恢復(fù)網(wǎng)站效勞器內(nèi)容，但是沒有過了半小時(shí)，又出現(xiàn)類似情況，于是緊急通知系統(tǒng)管理人員，告知該情況，并向某平安公司求助。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第8頁。9問題經(jīng)過初步平安檢查，發(fā)現(xiàn)以下問題：郵件效勞器沒有防病毒掃描模塊；客戶端有W32/Mydoom@MM郵件病毒問題路由器密碼缺省沒有修改正，非常容易被人攻擊；網(wǎng)站效勞器系統(tǒng)沒有安裝最新微軟補(bǔ)丁沒有移除不需要的功能組件；用戶訪問沒有設(shè)置復(fù)雜密碼驗(yàn)證，利用字典攻擊，非常容易猜出用戶名和密碼，同時(shí)分廠員工對(duì)于網(wǎng)站訪問只使用了簡(jiǎn)單密碼驗(yàn)證，容易被人嗅聽到密碼。數(shù)據(jù)庫系統(tǒng)SQL2000SA用戶缺省沒有設(shè)置密碼；數(shù)據(jù)庫系統(tǒng)SQL2000沒有安裝任何補(bǔ)丁程序企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第9頁。10用戶的目標(biāo)“我們做了盡可能多的工作，努力提我們的響應(yīng)速度，縮短解決問題的時(shí)間，但是很多情況下我們總是在問題出現(xiàn)了之后才開始解決，在這種情況下我們很難及時(shí)解決問題，每次都會(huì)有一天到兩天大部份系統(tǒng)不能使用，而且也無法對(duì)可能發(fā)生的問題做有效的估計(jì)〞------IT效勞中心的觀點(diǎn)?！拔覀?cè)诤芏喾矫娴墓ぷ鞫己艹晒?，但是就是由于這些網(wǎng)絡(luò)上令人討厭的病毒，造成了我們還是經(jīng)常收到來自個(gè)方面的投訴，顯然這不是我們想看到的。我們需要嚴(yán)密的系統(tǒng)和嚴(yán)格的策略來保證我們業(yè)務(wù)系統(tǒng)的穩(wěn)定性和可用性〞------首席信息官〔CIO〕的觀點(diǎn)。“我們需要一個(gè)可靠、穩(wěn)定、平安，易于管理和維護(hù)的IT解決方案，以及基于此方案的優(yōu)秀IT效勞部門，用以支撐我們公司的運(yùn)營(yíng)，以及未來的開展。〞-------公司總裁(CEO)的觀點(diǎn)。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第10頁。11風(fēng)險(xiǎn)評(píng)估企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第11頁。12風(fēng)險(xiǎn)評(píng)估的一般過程只有經(jīng)過全面的風(fēng)險(xiǎn)評(píng)估過程，才能夠有針對(duì)性地制定平安實(shí)施放案，選擇適宜的平安技術(shù)和產(chǎn)品。在風(fēng)險(xiǎn)評(píng)估過程，需要：收集一切和網(wǎng)絡(luò)平安相關(guān)的信息；使用平安評(píng)測(cè)工具進(jìn)行脆弱點(diǎn)檢查；分析收集到的信息，定義威脅級(jí)別。平安不是最終結(jié)果，而是一種過程或者一種狀態(tài)。平安評(píng)估必須按照一定的周期不斷進(jìn)行，才能保證持續(xù)的平安。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第12頁。13需要搜集的根本信息企業(yè)信息：企業(yè)名稱業(yè)務(wù)范圍地理分布員工數(shù)量組織結(jié)構(gòu)管理模式預(yù)期的增長(zhǎng)或重組網(wǎng)絡(luò)：物理拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)設(shè)備邏輯網(wǎng)絡(luò)劃分〔活動(dòng)目錄結(jié)構(gòu)〕局域網(wǎng)結(jié)構(gòu)廣域網(wǎng)結(jié)構(gòu)遠(yuǎn)程訪問互聯(lián)網(wǎng)接入網(wǎng)絡(luò)協(xié)議類型主要網(wǎng)絡(luò)流量防火墻和入侵檢測(cè)系統(tǒng)主機(jī)：效勞器數(shù)量，名稱，用途，分布效勞器操作系統(tǒng)及版本用戶身份驗(yàn)證方式工作站數(shù)量，用途和分布工作站操作系統(tǒng)及版本操作系統(tǒng)補(bǔ)丁部署防病毒部署主機(jī)防火墻計(jì)算機(jī)平安管理平安管理：企業(yè)平安策略和聲明物理平安管理員工平安培訓(xùn)平安響應(yīng)機(jī)制平安需求和滿足程度企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第13頁。14使用平安評(píng)測(cè)工具平安評(píng)測(cè)工具通過內(nèi)置的漏洞和風(fēng)險(xiǎn)庫，對(duì)指定的系統(tǒng)進(jìn)行全面的掃描平安評(píng)測(cè)工具可以快速定位漏洞和風(fēng)險(xiǎn)例：MBSA〔MicrosoftBaselineSecurityAnalyzer，基準(zhǔn)平安分析器〕是微軟提供的系統(tǒng)平安分析及解決工具。MBSA可以對(duì)本機(jī)或者網(wǎng)絡(luò)上的WindowsNT/2000/XP的系統(tǒng)進(jìn)行平安性檢測(cè)，還可以檢測(cè)其它的一些微軟產(chǎn)品，諸如、以上版本的InternetExplorer、和Office2000/XP，并給出相應(yīng)的解決方法。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第14頁。15評(píng)價(jià)風(fēng)險(xiǎn)問題嚴(yán)重程度定義建議5嚴(yán)重安全問題嚴(yán)重的安全漏洞，如果被利用會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的破壞記錄，評(píng)估，立即更改4高風(fēng)險(xiǎn)安全問題嚴(yán)重的安全漏洞，如果被利用將/可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生嚴(yán)重的影響記錄，評(píng)估，在15至30天內(nèi)更改3中度風(fēng)險(xiǎn)的安全問題中度風(fēng)險(xiǎn)的安全問題，可能會(huì)影響業(yè)務(wù)的進(jìn)行或紀(jì)錄，評(píng)估，在90天內(nèi)改進(jìn)2輕微風(fēng)險(xiǎn)的安全問題輕微風(fēng)險(xiǎn)的安全問題，不會(huì)對(duì)業(yè)務(wù)帶來直接的影響紀(jì)錄，評(píng)估，在120天內(nèi)改進(jìn)1安全建議不屬于安全問題，但改進(jìn)后可進(jìn)一步提高安全記錄，評(píng)估，在可行的情況下采用企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第15頁。16整理結(jié)果:效勞器端嚴(yán)重級(jí)別安全問題5沒有安裝sp2之后最新的Hotfix3沒有限制匿名用戶對(duì)本地安全子系統(tǒng)的訪問4沒有制定密碼策略4沒有定義賬號(hào)鎖定策略3沒有改變administrator賬號(hào)以及配置該賬號(hào)4沒有設(shè)置“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)“3刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP4沒有將所有日志的保存方法設(shè)為“按需要改寫日志”2事件日志文件使用缺省大小3沒有針對(duì)重要文件進(jìn)行審核3“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組3沒有設(shè)置專職的信息安全管理人員3缺少有效的備份計(jì)劃和定期檢查策略4沒有法律顧問4沒有應(yīng)對(duì)緊急事件的機(jī)制4沒有系統(tǒng)容錯(cuò)機(jī)制3沒有詳細(xì)的安全管理文檔4沒有針對(duì)登錄事件進(jìn)行審核3沒有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證3IIS服務(wù)器安裝了太多的不需要組件，也沒有安裝相關(guān)補(bǔ)丁程序4沒有特權(quán)使用和策略更改的記錄2沒有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制3防火墻沒有開啟入侵檢測(cè)4沒有利用組策略的安全模板進(jìn)行配置4任何人能夠進(jìn)入電腦機(jī)房4沒有安全管理的流程3網(wǎng)站安全驗(yàn)證的功能太弱3Sql安全配置不足4存在網(wǎng)絡(luò)病毒現(xiàn)象4數(shù)據(jù)庫權(quán)限沒有嚴(yán)格限定條件4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式5企業(yè)郵件服務(wù)器沒有安裝郵件掃描插件企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第16頁。17整理結(jié)果：工作站端嚴(yán)重級(jí)別安全問題5沒有安裝操作系統(tǒng)補(bǔ)丁3有的計(jì)算機(jī)沒有加入域4沒有離開計(jì)算機(jī)，鎖定屏幕習(xí)慣4沒有定義賬號(hào)鎖定策略3沒有復(fù)雜密碼習(xí)慣4安裝不需要的網(wǎng)絡(luò)協(xié)議3隨意打開未知內(nèi)容的郵件4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝2上非法網(wǎng)站導(dǎo)致IE被修改3不及時(shí)更新防病毒軟件病毒庫3很多員工會(huì)把密碼寫到及時(shí)貼，放在電腦上4隨意將公司一些信息告知外來人員4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。3公司電腦機(jī)箱被隨意打開5存在“W32/Nimda@MM”的蠕蟲病毒企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第17頁。18書寫平安評(píng)估報(bào)告平安評(píng)估報(bào)告應(yīng)該包含的局部：文檔版本，完成時(shí)間，撰寫和審核者；平安評(píng)估說明：平安審核的目的，客戶，平安參謀提供者；審核目標(biāo)：審核范圍和審核對(duì)象；審核過程：審核工作開始和結(jié)束時(shí)間，審核使用的工具和手段，參與者；審核結(jié)果——客戶根本信息；審核結(jié)果——客戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；審核結(jié)果——客戶效勞器信息；審核結(jié)果——客戶工作站信息；審核結(jié)果——按照嚴(yán)重級(jí)別排列的威脅；平安現(xiàn)狀綜合評(píng)價(jià)平安建議術(shù)語企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第18頁。19平安方案設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第19頁。20定義企業(yè)平安策略企業(yè)平安策略定義企業(yè)網(wǎng)絡(luò)平安的目標(biāo)和范圍，即平安策略所要求保護(hù)的信息資產(chǎn)的組成和平安策略所適用的范圍。企業(yè)平安策略作為行為標(biāo)準(zhǔn)，定義信息系統(tǒng)中用戶的行為和動(dòng)作是否可以接受。每一條具體的策略都由政策、目的、范圍、定義遵守和違背政策、違背策略的懲罰和結(jié)果等有關(guān)的局部組成。這些策略會(huì)被作為整個(gè)企業(yè)的政策分發(fā)到企業(yè)的所有組織，并且企業(yè)內(nèi)所有員工被強(qiáng)制要求必須內(nèi)遵守。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第20頁。21Internet訪問策略該策略用來明確每位員工在Internet訪問活動(dòng)中應(yīng)該擔(dān)負(fù)的責(zé)任，并不對(duì)企業(yè)造成危害。所有被允許能夠進(jìn)行Internet訪問的員工必須在該文檔上簽名，然后才能給予訪問權(quán)限。組成局部：1、定義什么是Internet訪問行為2、定義責(zé)任3、定義用戶可以做什么，不可以做什么4、如果用戶違反該策略，相關(guān)部門會(huì)采取的行動(dòng)企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第21頁。22平安管理在制定平安策略的根底上，企業(yè)內(nèi)部應(yīng)該成立平安管理小組，包含相關(guān)人員，全面負(fù)責(zé)平安管理，主要職責(zé)包括：平安策略制定和推廣進(jìn)行定期的平安審核平安事件響應(yīng)平安技術(shù)選擇和產(chǎn)品選購(gòu)員工平安培訓(xùn)取得行政和資金上的支持內(nèi)部和外部信息交流企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第22頁。23平安風(fēng)險(xiǎn)分析根據(jù)平安評(píng)估階段提供的平安問題列表，按照嚴(yán)重級(jí)別進(jìn)行排序，然后進(jìn)行分析，步驟包括：分析平安問題面臨的風(fēng)險(xiǎn)；查找平安問題之間的關(guān)聯(lián)性；尋求解決方案。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第23頁。24效勞器平安問題〔1〕等級(jí)安全問題風(fēng)險(xiǎn)5系統(tǒng)中沒有安裝sp2之后最新的Hotfix系統(tǒng)存在嚴(yán)重的安全漏洞5企業(yè)郵件服務(wù)器沒有安裝郵件掃描插件病毒郵件的擴(kuò)散，內(nèi)部員工通過郵件向外發(fā)送企業(yè)機(jī)密數(shù)據(jù)4沒有制定密碼策略弱口令4沒有定義賬號(hào)鎖定策略字典或暴力攻擊3沒有改變administrator賬號(hào)以及配置該賬號(hào)口令猜測(cè)4“允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”的權(quán)限中有everyone組從網(wǎng)絡(luò)發(fā)起入侵4沒有將所有日志的保存方法設(shè)為“按需要改寫日志”日志不完整或日志偽造2事件日志文件使用缺省大小不完整記錄或者日志偽造4沒有法律顧問觸犯法律或者不能及時(shí)得到法律支持企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第24頁。25效勞器平安問題〔2〕4沒有系統(tǒng)容錯(cuò)機(jī)制系統(tǒng)容錯(cuò)能力脆弱4沒有針對(duì)登錄事件進(jìn)行審核非法登錄4沒有策略更改的記錄非法修改策略4沒有利用組策略的安全模板進(jìn)行配置分散的安全管理4任何人能夠進(jìn)入電腦機(jī)房物理安全威脅4沒有安全管理的流程安全管理混亂，容易導(dǎo)致信息泄漏4沒有應(yīng)對(duì)緊急事件的機(jī)制延誤時(shí)機(jī)，使安全破壞更為嚴(yán)重3沒有設(shè)置專職的信息安全管理人員安全管理混亂3沒有詳細(xì)的安全管理文檔安全管理混亂4存在網(wǎng)絡(luò)病毒現(xiàn)象病毒擴(kuò)散并難以清除4數(shù)據(jù)庫權(quán)限沒有嚴(yán)格限定條件非法防問4文件服務(wù)器的分區(qū)格式采用FAT分區(qū)格式?jīng)]有本地安全性3沒有限制匿名用戶訪問空會(huì)話威脅企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第25頁。26效勞器平安問題〔3〕3沒有刪除不需要的協(xié)議，并且禁用NetBIOSoverTCP/IP存在潛在的協(xié)議漏洞3沒有針對(duì)重要文件進(jìn)行審核非法訪問和修改3缺少有效的備份計(jì)劃和定期檢查策略災(zāi)難發(fā)生時(shí)無法從備份中恢復(fù)數(shù)據(jù)3沒有針對(duì)DNS服務(wù)器的傳輸進(jìn)行安全有效驗(yàn)證非法的區(qū)域傳輸3用戶登錄驗(yàn)證是明文傳輸網(wǎng)絡(luò)竊聽3IIS服務(wù)器安裝了太多的不需要組件，也沒有安裝相關(guān)補(bǔ)丁程序存在嚴(yán)重漏洞，容易被黑客攻擊3沒有特權(quán)使用的記錄非法特權(quán)使用3防火墻沒有開啟入侵檢測(cè)漏洞掃描3Sql安全配置不足存在可以被入侵者利用的漏洞2沒有監(jiān)視相關(guān)服務(wù)器端口的機(jī)制服務(wù)器可能被種植木馬2SMTP服務(wù)器開啟了relay設(shè)置成為垃圾郵件中轉(zhuǎn)站企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第26頁。27工作站平安問題級(jí)別安全問題風(fēng)險(xiǎn)5沒有安裝操作系統(tǒng)補(bǔ)丁存在嚴(yán)重漏洞4沒有離開計(jì)算機(jī)，鎖定屏幕習(xí)慣被非法訪問4沒有定義賬號(hào)鎖定策略口令猜測(cè)4財(cái)務(wù)經(jīng)理的筆記本電腦丟失，導(dǎo)致公司機(jī)密數(shù)據(jù)丟失。數(shù)據(jù)失竊4安裝不需要的網(wǎng)絡(luò)協(xié)議潛在的網(wǎng)絡(luò)協(xié)議漏洞4自行下載網(wǎng)絡(luò)軟件，并進(jìn)行安裝感染病毒，木馬，并導(dǎo)致系統(tǒng)不穩(wěn)定3隨意打開未知內(nèi)容的郵件感染郵件病毒或木馬4隨意將公司一些信息告知外來人員泄露信息機(jī)密3很多員工會(huì)把密碼寫到及時(shí)貼，放在電腦上泄露信息機(jī)密3不及時(shí)更新防病毒軟件病毒庫感染病毒3公司電腦機(jī)箱被隨意打開物理威脅3沒有復(fù)雜密碼習(xí)慣口令猜測(cè)攻擊3有的計(jì)算機(jī)沒有加入域無法進(jìn)行集中管理，無法實(shí)現(xiàn)集中身份驗(yàn)證2部門管理人員放在我的文件夾中的數(shù)據(jù)不會(huì)自己備份數(shù)據(jù)丟失影響影響用戶不能正常工作3Snmp的配置可以使用缺省用戶探詢信息導(dǎo)致公司相關(guān)設(shè)備信息丟失和一些配置信息被修改企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第27頁。28平安設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第28頁。29物理平安物理平安是整體平安策略的基石。保護(hù)企業(yè)效勞器所在地點(diǎn)的物理平安是首要任務(wù)。保護(hù)范圍包括在辦公樓內(nèi)的效勞器機(jī)房或整個(gè)數(shù)據(jù)中心。還應(yīng)該注意進(jìn)入辦公樓的入口。如果有人隨便可以進(jìn)入辦公樓內(nèi)，那么他們即使無法登錄到網(wǎng)絡(luò)，也會(huì)有許多時(shí)機(jī)發(fā)起攻擊。攻擊包括：拒絕效勞〔例如，將一臺(tái)膝上型電腦插入網(wǎng)絡(luò)作為一個(gè)DHCP效勞器，或者切斷效勞器電源〕數(shù)據(jù)竊取〔例如，偷竊膝上型電腦或嗅探內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包〕運(yùn)行惡意代碼〔例如在內(nèi)部啟動(dòng)蠕蟲程序，散播病毒〕竊取關(guān)鍵的平安信息〔例如備份磁帶、操作手冊(cè)和網(wǎng)絡(luò)圖，員工通信錄〕企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第29頁。30防止信息泄露攻擊者總是要挖空心思找到有關(guān)企業(yè)網(wǎng)絡(luò)環(huán)境的信息。信息本身有時(shí)非常有用，但有的時(shí)候，它也是獲取進(jìn)一步信息和資源的一種手段。防范信息收集的關(guān)鍵是限制外界對(duì)您的資源進(jìn)行未經(jīng)授權(quán)的訪問。確保這種防范效果的方法包括〔但是不限于〕：確保網(wǎng)絡(luò)上只有那些已標(biāo)識(shí)的特定設(shè)備能夠建立遠(yuǎn)程訪問連接。在通過外部防火墻直接連接Internet的計(jì)算機(jī)上關(guān)閉TCP/IP上的NetBIOS，包括端口135、137、139和445。對(duì)于Web效勞器，在防火墻或者效勞器上僅啟用端口80和443。審查企業(yè)對(duì)外網(wǎng)站上的信息以確保：該站點(diǎn)上使用的電子郵件地址不是管理員帳戶。沒有透露網(wǎng)絡(luò)技術(shù)審查員工向新聞組和論壇張貼的內(nèi)容，防止暴露企業(yè)內(nèi)部信息，包括管理員在技術(shù)論壇上求助技術(shù)問題。審查為一般公眾提供的信息有沒有您的IP地址和域名注冊(cè)信息。確保攻擊者無法通過對(duì)DNS效勞器執(zhí)行區(qū)域傳輸。通過轉(zhuǎn)儲(chǔ)DNS中的所有記錄，攻擊者可以清楚地發(fā)現(xiàn)最易于攻擊的計(jì)算機(jī)。減少效勞器暴露的技術(shù)細(xì)節(jié)。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第30頁。31規(guī)劃網(wǎng)絡(luò)平安將企業(yè)網(wǎng)絡(luò)劃分和定義為以下幾局部：內(nèi)部網(wǎng)絡(luò)需要被外部訪問的企業(yè)網(wǎng)絡(luò)〔?；饏^(qū)，DMZ〕商業(yè)伙伴的網(wǎng)絡(luò)遠(yuǎn)程訪問〔遠(yuǎn)程機(jī)構(gòu)或者用戶〕Internet在防火墻，路由器上進(jìn)行訪問控制和隔離使用基于網(wǎng)絡(luò)和基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)，提供預(yù)警機(jī)制，最好能夠和防火墻聯(lián)動(dòng)。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第31頁。32防火墻近乎線性的吞吐速度，在HTTP吞吐量測(cè)試方 面，ISAServer的吞吐量保持為每秒1.59GB應(yīng)用層性能較好的防火墻 (數(shù)據(jù)來源：)單臺(tái)效勞器可以處理48,000個(gè)并發(fā)連接緩存改善了帶寬的利用效率和Web內(nèi)容的響應(yīng)時(shí)間應(yīng)用層的精細(xì)控制上網(wǎng)行為和豐富的拓展允許管理員控制上網(wǎng)行為和為緊急任務(wù)分配較高的帶寬優(yōu)先級(jí)ISAServer：Windows平臺(tái)上的最正確防火墻企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第32頁。33FirewallInternet應(yīng)用案例

-小型網(wǎng)絡(luò)或分公司的配置企業(yè)內(nèi)部網(wǎng)絡(luò)AccessPolicyrules-IP包,應(yīng)用程序,用戶,組等的訪問策略Bandwidthrules-不同Internetrequest所分配不同帶寬的規(guī)那么Publishingrules-將Internet效勞(如web,ftp,mail)透過防火墻 的保護(hù)發(fā)布給外網(wǎng)用戶IntrusionDetection-防火墻入侵監(jiān)測(cè)MonitorandLogging–進(jìn)出流量分析與報(bào)表企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第33頁。34實(shí)施案例

——北京市環(huán)保局InternetISAServer100臺(tái)工作站ISAServer2000TrendMicroInterScan企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第34頁。35DMZ方式1:一個(gè)防火墻連接3個(gè)網(wǎng)絡(luò)(3-homed)Internet內(nèi)部網(wǎng)絡(luò)DMZ區(qū)ISA效勞器企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第35頁。36實(shí)施案例

----新晨集團(tuán)

(brilliance)ISAServer2000InternetInternalNetworkPerimeterNetworkMailServer&DNSWebServer企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第36頁。37應(yīng)用范例

–

廣域網(wǎng)絡(luò)的配置總部分支機(jī)構(gòu)ISA加速分支機(jī)構(gòu)的訪問速度實(shí)現(xiàn)內(nèi)部的平安控制〔不同部門和網(wǎng)絡(luò)之間部署防火墻)統(tǒng)一的策略管理企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第37頁。38DMZ方式2:“背靠背〞模式Internet內(nèi)部網(wǎng)DMZ區(qū)Web效勞器數(shù)據(jù)庫效勞器ISA效勞器ISA效勞器企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第38頁。39InternetISAServer陣列FireWall(硬件)DMZ內(nèi)部網(wǎng)(2000+工作站)實(shí)施案例

——

中國(guó)農(nóng)業(yè)部信息中心企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第39頁。40復(fù)雜網(wǎng)絡(luò)中ISA的配置多個(gè)VLAN,基于第三層交換ISAServer作為交換機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置靜態(tài)路由企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第40頁。41實(shí)施案例

----北京許繼電氣企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第41頁。42ISA和VPN在遠(yuǎn)程網(wǎng)絡(luò)的部署Internet遠(yuǎn)程客戶端VPN服務(wù)器遠(yuǎn)程網(wǎng)絡(luò)ISA服務(wù)器Web服務(wù)器可以選擇讓VPN效勞器和ISA安裝在同一臺(tái)機(jī)器上或分開企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第42頁。43實(shí)施案例

----北京市某旅游部門IDC機(jī)房/固定IPVPNVPNOffice-1Office-2Office-3撥號(hào)線路InternetInternetInternet企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第43頁。44規(guī)劃系統(tǒng)平安操作系統(tǒng)加固去除非必要效勞和組件去除非必要網(wǎng)絡(luò)協(xié)議應(yīng)用預(yù)定義平安模板軟硬件供給商對(duì)于自己的產(chǎn)品，一般都提供了平安配置文檔。微軟提供了產(chǎn)品平安配置指南，管理員只需遵照?qǐng)?zhí)行，即能提供高應(yīng)用系統(tǒng)的平安性。

企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第44頁。45用戶帳號(hào)策略幾乎所有的企業(yè)都通過用戶帳戶名稱和賬戶口令的方法來提供身份驗(yàn)證和訪問限制。因此帳戶平安性是企業(yè)平安的根底。一定要設(shè)定口令最低長(zhǎng)度，復(fù)雜性要求，口令定期修改，帳號(hào)鎖定策略。管理員帳戶和口令策略：不要為防止自己的帳戶被鎖定，而額外創(chuàng)立高權(quán)限帳戶來作為后門不要在IT人員之間共享密碼，如果允許多個(gè)用戶使用管理員帳戶，那么一旦發(fā)生涉及該帳戶的平安事件，審計(jì)和責(zé)任區(qū)分就變得非常困難不要在外部網(wǎng)站上使用單位內(nèi)部的密碼。比方注冊(cè)Internet上的論壇和網(wǎng)上商店的會(huì)員時(shí)。因?yàn)橛脩裘艽a往往會(huì)與其電子郵件地址存儲(chǔ)在一起。只要利用這種存儲(chǔ)組合，攻擊者就可以確定用戶所在的工作單位、使用的用戶名〔特別是如果用戶名是SMTP地址的前綴〕及密碼。

企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第45頁。46防病毒系統(tǒng)病毒已經(jīng)成為最大的平安威脅，為此有必要在企業(yè)內(nèi)全面部署防病毒系統(tǒng)。構(gòu)建有效的防病毒機(jī)制，需要遵循以下原那么：建立網(wǎng)關(guān)，效勞器，工作站立體防病毒體系；及時(shí)更新防病毒軟件本身和病毒特征碼；格外關(guān)注使用筆記本電腦的用戶的防病毒軟件更新情況；通過在防火墻和路由器上設(shè)置，及時(shí)阻止通過網(wǎng)絡(luò)擴(kuò)散的病毒；安裝專門針對(duì)ExchangeServer的病毒掃描系統(tǒng)，直接從用戶的郵箱里發(fā)現(xiàn)和去除病毒；培訓(xùn)用戶不要為了加快計(jì)算機(jī)運(yùn)行速度而禁用防病毒系統(tǒng)，如果有可能，從防病毒軟件設(shè)置中禁止用戶這么做培訓(xùn)用戶不要隨意翻開不明內(nèi)幕的電子郵件附件，不要隨意下載和安裝應(yīng)用軟件。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第46頁。47修補(bǔ)程序管理只有及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞，才能從根本上保證平安。修補(bǔ)程序主要有3類：ServicePack即時(shí)修復(fù)程序或QFE，QuickFixEngineering〔快速修補(bǔ)工程組，QFE〕是Microsoft的一個(gè)小組，專門負(fù)責(zé)編制即時(shí)修復(fù)程序，針對(duì)產(chǎn)品的代碼修補(bǔ)程序。即時(shí)修復(fù)程序經(jīng)過更嚴(yán)格測(cè)試之后被定期添加到ServicePack中，然后提供給所有用戶。平安修補(bǔ)程序：平安修補(bǔ)程序是為消除平安漏洞而設(shè)計(jì)的。部署修補(bǔ)程序的方法主要有：WindowsUpdate和AutomaticUpdateSUS軟件更新效勞〔SUS〕可以安裝在企業(yè)內(nèi)部的某臺(tái)效勞器上，讓后SUS效勞器從微軟的站點(diǎn)下載最新的修補(bǔ)程序，企業(yè)網(wǎng)絡(luò)的計(jì)算機(jī)將自動(dòng)從SUS下載并自動(dòng)安裝。腳本通過組策略部署計(jì)算機(jī)開機(jī)腳本，使計(jì)算機(jī)在啟動(dòng)時(shí)自動(dòng)運(yùn)行腳本，安裝修補(bǔ)程序企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第47頁。48審核策略通過審核，記錄訪問者的行為，以發(fā)現(xiàn)異常動(dòng)作并作為證據(jù)保存。一般的審核策略包括：對(duì)于重要的文件開啟刪除和修改審核，對(duì)敏感文件開啟讀取審核；在域上開啟賬戶登錄事件審核，記錄用戶登錄域的活動(dòng)；在重要效勞器上開啟登錄事件審核，記錄從網(wǎng)絡(luò)上訪問該效勞器的活動(dòng)；在SQLServer中審計(jì)登錄事件；定期對(duì)審核記錄進(jìn)行檢查。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第48頁。49日志管理日志系統(tǒng)保存了操作系統(tǒng)和應(yīng)用程序的信息記錄，其中包括與平安相關(guān)的信息。做為檢測(cè)入侵的重要證據(jù)，日志需要進(jìn)行妥善的管理。一般的日志管理策略包括：足夠大的日志存儲(chǔ)空間，以記錄足夠多的日志信息；不應(yīng)啟用日志覆蓋；定期的日志轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)的日志需要放置在不能被再次修改的存儲(chǔ)介質(zhì)上，如只能寫入一次的光盤，并放置在平安位置，同時(shí)按照企業(yè)平安策略的要求i，保存足夠長(zhǎng)的時(shí)間；除了操作系統(tǒng)日志外，根據(jù)需要開啟應(yīng)用系統(tǒng)的日志，如數(shù)據(jù)庫效勞器，郵件效勞器等訪問日志；保證在日志中記錄足夠的信息，如用戶帳戶，計(jì)算機(jī)名，IP地址等；保證計(jì)算機(jī)之間的時(shí)間同步，以準(zhǔn)確記錄時(shí)間發(fā)生時(shí)間；從軟件供給商處獲取日志代碼含義解讀文檔；使用日志分析工具協(xié)助管理員快速獲取有價(jià)值的信息企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第49頁。50容錯(cuò)管理對(duì)故障和災(zāi)難的抵御能力，稱為容錯(cuò)。容錯(cuò)管理的目標(biāo)是盡可能減少各種意外事故造成的企業(yè)信息損害。一般的容錯(cuò)管理策略包括：使用不間斷電源設(shè)備，建立后備供電線路；使用磁盤冗余陣列；使用效勞器群集技術(shù)，防止效勞器失效；對(duì)重要的效勞器建立后備或輔助效勞器，例如建立多臺(tái)域控制器等；選擇多個(gè)ISP，建立外部連接冗余；對(duì)網(wǎng)絡(luò)設(shè)備〔交換機(jī)，路由器〕和防火墻提供冗余。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第50頁。51備份管理備份是企業(yè)信息平安的最后一道防線一般的備份策略包括：設(shè)計(jì)備份方案，在兼顧性能的同時(shí)，盡可能縮短備份周期；定期測(cè)試備份設(shè)備，備份存儲(chǔ)介質(zhì)的可靠性，檢查已備份數(shù)據(jù)的完整性和可用性；劃分需要備份數(shù)據(jù)的優(yōu)先級(jí)；保存同一數(shù)據(jù)的多個(gè)備份；備份磁帶遠(yuǎn)離數(shù)據(jù)原始位置，防止災(zāi)害發(fā)生造成同時(shí)損失；備份磁帶應(yīng)存儲(chǔ)在平安位置，防止非授權(quán)訪問；制定備份恢復(fù)方案，并進(jìn)行演練。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第51頁。52抵御技術(shù)性攻擊攻擊者會(huì)企圖利用企業(yè)網(wǎng)絡(luò)中的技術(shù)漏洞，以獲取對(duì)系統(tǒng)的訪問并設(shè)法提升其權(quán)限。主要的技術(shù)攻擊方法有：會(huì)話監(jiān)聽和劫持URL字符串攻擊攻擊平安帳戶管理器文件緩沖區(qū)溢出拒絕效勞攻擊后門攻擊惡意代碼企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第52頁。53抵御社會(huì)工程攻擊社會(huì)工程攻擊指利用非技術(shù)手段對(duì)企業(yè)信息平安造成破壞，比方：偽裝成快遞公司，物業(yè)管理公司等人員進(jìn)入企業(yè)，獲取企業(yè)內(nèi)部信息，比方貼在墻上的組織結(jié)構(gòu)圖，文印室未被處理的廢棄紙張，貼在員工工作隔板上的內(nèi)部通信錄，貼在顯示器上的寫有用戶帳戶名稱和口令便利帖等等；偽裝企業(yè)IT管理人員打給企業(yè)員工，索要帳戶口令。抵御社會(huì)工程攻擊的最好方法是對(duì)企業(yè)員工進(jìn)行平安意識(shí)培訓(xùn)，并進(jìn)行企業(yè)內(nèi)部平安審核。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第53頁。54A公司平安事件響應(yīng)存在的問題所有的管理員都希望能防患于未然。然而要想防止所有平安事件是不可能的，所以當(dāng)平安事件真的發(fā)生時(shí)，需要確保讓它造成的影響最小?？梢圆扇∫恍╊A(yù)先的的措施以使平安事件的數(shù)量和影響減至最小。在該階段，分析案例中A公司目前的事件響應(yīng)機(jī)制存在的問題，比方：顯然缺乏平安響應(yīng)機(jī)制，也沒有時(shí)間響應(yīng)團(tuán)隊(duì)；在未經(jīng)授權(quán)的情況下向外部人員求助；在未經(jīng)授權(quán)的情況下允許外部人員進(jìn)行平安掃描；沒有在第一時(shí)間記錄并通報(bào)平安事件的發(fā)生；沒有進(jìn)行證據(jù)保存等。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第54頁。55平安事件的相應(yīng)流程初步評(píng)估，發(fā)現(xiàn)平安事件的人員進(jìn)行初步評(píng)估，排除誤報(bào)可能性；內(nèi)部通報(bào)，向整個(gè)事件響應(yīng)小組進(jìn)行通報(bào)，啟動(dòng)處理機(jī)制；控制損失，采取緊急措施，防止進(jìn)一步惡化；確定攻擊類型，以及風(fēng)險(xiǎn)等級(jí)；確定損失，確定此次平安事件影響范圍，評(píng)估對(duì)企業(yè)造成的損失；消除風(fēng)險(xiǎn)，防止該平安事件出現(xiàn)在其他系統(tǒng)或者部門；保存證據(jù)，對(duì)受到破壞的主機(jī)進(jìn)行符合法律要求證據(jù)保存；通知外部機(jī)構(gòu)，如商業(yè)伙伴，政府機(jī)關(guān)；恢復(fù)受攻擊影響系統(tǒng)；事件相關(guān)資料整理和總結(jié)。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第55頁。56A公司的緊急事件響應(yīng)〔1〕

事件響應(yīng)步驟采取的行動(dòng)初步評(píng)估星期一早上十點(diǎn)鐘，公司的管理員S接到公司銷售部門的員工的電話，說在訪問公司對(duì)外Web網(wǎng)站時(shí)，發(fā)現(xiàn)主頁被篡改。S是偉達(dá)公司的安全安全事件響應(yīng)小組的成員，公司員工已經(jīng)經(jīng)過培訓(xùn)，被要求一旦懷疑發(fā)現(xiàn)安全事件，立刻向IT部門報(bào)告。S接到電話后，立刻訪問公司主頁，發(fā)現(xiàn)確實(shí)被人篡改，入侵者留下了惡作劇般的聲明，但并沒有表明身份和目的。這不是誤報(bào)。通報(bào)事件S立刻通過電子郵件通報(bào)了他發(fā)現(xiàn)的問題，并電話通知了所有可以聯(lián)系到的安全小組成員。

控制損失A公司的安全事件響應(yīng)策略規(guī)定，在確定暴露在Internet上的某臺(tái)服務(wù)器被入侵后，要求立即斷開該系統(tǒng)與網(wǎng)絡(luò)的連接。S按照此策略拔掉了網(wǎng)線。但是考慮到對(duì)企業(yè)業(yè)務(wù)的影響，暫時(shí)沒有斷開整個(gè)企業(yè)到Internet的連接。確定破壞程度S檢查了防火墻日志，檢查了郵件服務(wù)器和數(shù)據(jù)庫服務(wù)器，暫時(shí)沒有發(fā)現(xiàn)有入侵痕跡。由于該Web服務(wù)器屬于獨(dú)立的工作組，其上存在的用戶帳戶也沒有被用在其他的系統(tǒng)上，基本可以斷定該次安全事件只影響到了Web服務(wù)器。企業(yè)網(wǎng)絡(luò)安全案例分析全文共60頁，當(dāng)前為第56頁。57緊急事件響應(yīng)〔2〕通報(bào)事件S將其后續(xù)操作及檢查結(jié)果用電子郵件通知了安全事件響應(yīng)小組的其他成員，并直接聯(lián)系了安全事件響應(yīng)小組領(lǐng)導(dǎo)人公司副總經(jīng)理Z。

Z指派CIO作為事件負(fù)責(zé)人,協(xié)調(diào)安全事件響應(yīng)小組的所有活動(dòng)及其與外部的信息溝通。

CIO通知IT支持小組，告訴他們?cè)?/p>

Web服務(wù)器已斷開與網(wǎng)絡(luò)的連接，待問題解決后才能重新連接到網(wǎng)絡(luò)上。CIO還通知了行政管理層和法律顧問。法律顧問建議按既定步驟收集證據(jù)。保存證據(jù)CIO決定根據(jù)法律顧問的建議，在對(duì)受到入侵的Web服務(wù)器進(jìn)行進(jìn)一步入侵分析之前進(jìn)行證據(jù)收集。安全事件響應(yīng)小組中經(jīng)過培訓(xùn)負(fù)責(zé)收集法律證據(jù)的成員創(chuàng)建了該Web服務(wù)器的完全備份。